上官雨寶
2
CISM-WSE
中級信息安全等級測評師
上官雨寶2
CISM-WSE
中級信息安全等級測評師
1.信息收集。入侵檢測的第一步是信息收集,內容包括網絡流量的內容、用戶連接活動的狀態和行為。
2.信號分析。對收集到的信息,一般通過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
具體的技術形式如下所述: ①模式匹配 模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。 ②統計分析 分析方法首先給信息對象(如用戶、連接、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常偏差之外時,就認為有入侵發生。其優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。 ③完整性分析 完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性,它在發現被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用于實時響應。這種方式主要應用于基于主機的入侵檢測系統(HIDS)。3.實時記錄、報警或有限度反擊。
IDS根本的任務是要對入侵行為做出適當的反應,這些反應包括詳細日志記錄、實時報警和有限度的反 擊攻擊源。
趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
網絡入侵檢測系統的工作如下:
信息收集:入侵檢測的第一步是信息收集,內容包括網絡流量的內容、用戶連接活動的狀態和行為。
信號分析:對收集到的信息,一般通過三種技術手段進行分析包括模式匹配,統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
實時記錄、報警或有限度反擊: IDS根本的任務是要對入侵行為做出適當的反應,這些反應包括詳細日志記錄、實時報警和有限度的反 擊攻擊源。
推薦文章
